PHP ya tiene muchas funciones para evitar esto, entre ellas estan:

addslashes();

htmlentities(); // No es exactamente para esto, pero de algo sirve.

mysql_real_escape_string(); //Talvez la mas aconsejada.